lazarusholic

2026-04-12, Genians
https://www.genians.co.kr/blog/threat_intelligence/pretexting
#APT37

◈ 주요 결과 (Key Findings)
- 북한 평양·평성 출신 표기 특정 페이스북 계정 2개를 활용한 정찰 수행
- 페이스북 친구 추가로 신뢰 구축 후 메신저 전환, 특정 주제로 표적 유인
- 암호화된 PDF 군사 무기 문서 제공을 빙자하여 전용 PDF Viewer 설치 유도
- 정교하게 변조된 Wondershare PDFelement 설치본을 통한 Shellcode 실행 및 초기 침투
- 일본 부동산 정보 서울지점 사이트를 경유한 JPG 위장 페이로드를 통한 후속 명령 수행
- 식별된 침해지표(IoC) 기반 탐지와 APT 회피 기법 대응을 위한 행위 기반 EDR 체계 필요
1. 개요 (Overview)
지니언스 시큐리티 센터(Genians Security Center)는 APT37 위협 행위자가 소셜 네트워크 플랫폼을 활용하여 수행한 표적 침투 캠페인에 대한 심층 분석을 수행하였습니다.
분석 결과, 해당 위협 행위자는 북한 평양·평성 지역으로 등록된 페이스북 계정 2개를 운용하며 공격 표적을 정찰·선별하고, 친구 요청을 통해 신뢰 관계를 구축한 뒤 메신저 채널로 전환하여 특정 주제로 표적을 유인하는 소셜 엔지니어링 기반의 1차 접근을 수행한 것으로 확인되었습니다.
[그림 1-1] 전체 공격 흐름도
페이스북 메신저나 텔레그램 등으로 암호화된 PDF 형식의 군사 무기 기술 문서를 …

http://ipinfo.io/json
http://도메인japanroom.com
http://japanroom.com/board/DATA/1288247428101.jpg
http://222.122.49.15
http://38.32.68.195
http://japanroom.com
222.122.49.15
38.32.68.195
[email protected]
[email protected]
c681fe3f42e82e9240afe97c23971cbc
c637b3e7d74c2d678663454d16311b15
085128b4e96633c82beb2101f5c525e4
28d0143718153bf04c1919a26bb70c2d
d44a22d2c969988a65c7d927e22364c8
36be2cbb59cd1c3f745d5f80f9aee21c